FX168财经网_全球视野外汇黄金加密货币NFT资讯网

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

私钥或者助记词存储，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。第二，用户下载虚假APP后，引发了私钥泄露。比如，多重签名骗局是最为典型的案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后立即修改该用户钱包的账户权限：将钱包账户权限由用户本人，变成用户本人和欺诈者共同持有，从而抢占该钱包账户的控制权。这类欺诈者往往会保持耐心，等待用户账户积累了一定加密资产后，一次性转走。 OKX Web3安全团队：慢雾已经概述了私钥被盗的2类主要情况，而第2种，欺诈者利用虚假APP盗取用户私钥的本质是木马程序，这类木马程序通过获取访问用户输入法、照片等权限，从而盗取用户私钥。相对于IOS用户而言，安卓用户遭遇到的木马病毒攻击更多。这里简单分享两个案例：案例一，用户反馈钱包资产被盗，经过我们团队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经05-16 14:06

加密钱包和 NFT：管理和交易

，却屈从于“主流”，相当多的用户成为了黑客的受害者。后者利用这个时机来愚弄新的加密货币用户，并消除他们从各个角度考虑 NFT 潜力的愿望。 2021年以来，市场逐渐褪色，但NFT的潜力并未化为尘埃。随着 Web3 世界的出现，NFT 在识别和控制对象的所有权和唯一性方面发挥着重要作用。然而，NFT 生态系统是基于用户的完全控制。将资产和数据的管理转移给第三方仍然是集中式 Web2 世界。这意味着人们必须承担更多责任来确保其资产的安全。这就是加密货币钱包可以拯救的地方。 NFT & 加密钱包：这种融合会带来什么？ NFT钱包事实上，它是一个常规的加密钱包，支持构建 NFT（不可替代代币）的区块链。因此，除了存储加密货币之外，它还提供了存储 NFT 的能力。 NFT 是指具有独特价值的任何数字对象：从图像和视频到音乐和书籍。事实上，加密钱包是指存储数字货币和 NFT 所有权证明的安全场所。重要的是钱包存储存储在区块链上的资产的密钥，而不是资产本身。加密钱包（又名 NFT 钱包）可以是物理设备，例如闪存驱动器。它们被称为冷钱包，因为它们无法访问互联网。钱包也可以是通过浏览器、计算机或智能手机访问的应用程序的形式。后者被称为热点，因为它们可以访问互联网。什么是好的NFT钱包？鉴于NFT的概念仍处于起步阶段，“好”的范围相当模糊。然而，迄今为止，NFT 钱包有几个特征决定了其质量。加密货币和 NFT 钱包应该是： 1.安全的-这是必备的。数据显示，从 2021 年 7 月（NFT 最热的一年）到 2022 年 7 月，价值超过 1 亿美元的 NFT 被盗，犯罪分子平均每次诈骗拿走 30 万美元。而且，事实证明，May 是欺诈者最赚钱的时期——他们窃取了总价值约2390 万美元的代币。如何保护您的钱包？选择一个可靠的提供商，大概是通过深入研究来选择的。为了获得最大的安全性，最好选择非托管钱包，因为没有人（甚至是钱包提供商）可以访问您的数据=密钥。不要忽视双因素身份验证。这是确保您的资产和 NFT 安全的最小但强制性的步骤。请注意备份功能，以便您可以重新访问您的钱包。考虑通过指纹（又名 Touch ID）解锁作为额外的安全措施和/或自动注销。 2.简单在界面方面，设计不复杂、内部逻辑简单的钱包值得关注。市场上具有用户友好的 UI 和 UX 的钱包并不多。您更有可能找到“从开发者到开发者”的钱包，这可能会让用户感到困惑并打消继续使用该产品的欲望。因此，对于只想要一组最小功能的初始用户来说，“超载”的钱包可能不是一个好的选择：在钱包内存储、转移加密货币和管理他们的 NFT 投资组合。 3.灵活在区块链技术互操作性方面最流行的 NFT 区块链是以太坊。然而，支持多个区块链的钱包为用户在一个地方交易和存储由不同区块链（例如币安智能链、Polygon等）支持的 NFT 提供了更多可能性。就 Web3 内的广泛功能而言直接从钱包浏览 dApp 的可能性可以让用户更轻松地探索 Web3 生态系统。此外，与现有 dApp 的集成可以提供买卖 NFT 的能力，以及直接将 NFT 接收到钱包中的能力。钱包如何帮助管理和交易 NFT？好了，现在你已经知道什么是好的钱包了。您甚至可能已经拥有一个加密钱包，并且现在您了解了基本的安全措施。如何使用NFT加密钱包进行交易？对于涉及 NFT 的交易或 NFT 转账，加密钱包是不可避免的事情。它为您提供一个用于转移加密资产（金钱）的地址（如银行帐号）。如果您是NFT买家，您需要将您的钱包地址提供给卖家。该地址指示您的 NFT 在区块链上的存储位置。如果您是卖家，那么您需要知道需要将 NFT 转移到的钱包地址。一旦转移，NFT 就会将其在区块链上的“位置”从您的位置更改为另一个位置 - 与地址关联的位置。因此，这里有关于如何在拥有钱包的情况下管理和交易 NFT 的详细说明。案例1.您的钱包中有一个NFT，您想将其发送给另一个钱包/用户。那么，如何将 NFT 发送到另一个钱包呢？无论您使用哪个钱包，将 NFT 转移到另一个钱包（又称地址）通常需要 4-5 个标准步骤：在 NFT 选项卡/屏幕上选择要转移的代币点击“发送” 输入收件人地址/ENS 验证地址是否正确确认（注意GAS费）案例2.您在市场上购买了NFT，现在想将其发送到您的钱包顺便说一句，要在市场上购买 NFT，您还需要一个钱包，该钱包有足够的“余额”用于购买所选的 NFT。在这种情况下，您的钱包必须链接到交易所。或者，您可以使用带有直接从应用程序进行交易选项的钱包。不同的钱包在此功能中提供不同的机会。经典的步骤看起来像这样：前往市场并选择 NFT 输入您要将 NFT 发送到的钱包地址点击发送并支付转账费用然而，在某些情况下，该过程可能更加复杂并且需要手动操作借助 DingPay 钱包，您不仅可以使用应用内的 Web3 浏览器浏览市场、购买或出售您的 NFT，还可以自动将 NFT 放入您的钱包中。您不需要手动添加令牌。该应用程序搜索与您的地址关联的 NFT（即您购买和拥有的），并自动将它们添加到您的 NFT 和加密货币投资组合中。最后但并非最不重要的再检查一遍请务必检查您要将 NFT 发送到的地址。另外，传输代币时请注意指定网络。如果代币与以太坊绑定，钱包必须支持该网络上的 NFT。否则，您的代币将会丢失。注意费用转让 NFT 时需要支付费用。点击“确认”即表示您同意支付费用。不要共享数据永远不会出现您需要告诉其他人您的助记词、密码、密钥和其他仅与您有关的信息才能完成传输的情况。当心！诈骗者利用用户的无知，冒充钱包/交易提供商来说服您，他们需要您的助记词或有关您钱包的其他信息来完成转账。向他们提供这些信息可能会对您造成残酷的欺骗。 DingPay钱包是一款自我托管的钱包。将您的钥匙放在安全的地方（将一张纸放在保险箱中以提高安全性怎么样？）并且不要让任何人接触它们。否则，您有 100% 的机会丢失您的资产和 NFT，并且无法取回。来源：金色财经

金色财经05-16 10:27

Tornado Cash 开发者被判刑,“Code is speech” 已死？

露其交易历史记录。 9 月 25 日：黑客从 KuCoin 交易所窃取了价值 2.75 亿美元的加密货币。这是荷兰检察官与 Tornado Cash 连接的最大黑客事件之一。 2022年 3 月 23 日：Axie Infinity Ronin 侧链桥因黑客攻击而损失约 6.25 亿美元。这是迄今为止最大的加密货币黑客攻击之一，犯罪分子通过 Tornado Cash 洗钱。 5 月 6 日：OFAC制裁朝鲜网络犯罪团伙使用的第一个虚拟货币混合器 Blender。 6 月 24 日：Lazarus Group攻击了Harmony Horizon 桥，价值近 1 亿美元的被盗加密货币通过 Tornado Cash 传输。据荷兰检察官称，这是另一起利用Tornado Cash洗钱的重大黑客攻击。 8 月 8 日：OFAC对 Tornado Cash实施制裁，因其被用于洗钱 70 亿美元。 8 月 9 日：Tornado Cash网站已被关闭，项目代码存储库已从GitHub中删除，联合创始人Roman Semenov的GitHub帐户被暂停 8 月 10 日：Alexey Pertsev在荷兰被捕并在没有公开指控的情况下入狱。 10 月 12 日：关注加密货币政策问题的非盈利机构Coin Center就 Tornado Cash 制裁起诉OFAC。 11 月 22 日：荷兰检察官在法庭听证会上首次披露指控。 2023年 4 月 20 日：Alexey Pertsev出狱待审。 8 月 23 日：美国司法部指控Tornado Cash 开发者 Roman Storm，并制裁开发者 Roman Semenov。 8月25日，Tornado Cash 联合创始人 Roman Storm 已获保释。 12月7日，币安下架Tornado Cash 原生代币 TORN。 2024年 3 月 25 日至 26 日：Alexey Pertsev在荷兰斯海尔托亨博斯市接受为期两天的审判。 4 月 5 日：美国贸易协会向法院提交了为Roman Storm辩护的简报，并处理了针对他的每项指控。 5月14日：Alexey Pertsev 因洗钱罪被判处 64 个月的监禁。 9 月 23 日：Roman Storm将在美国接受审判。审判的争议与焦点：智能合约开发者的身份边界 Tornado Cash案件审判的焦点在于，现行的反洗钱法是否适用于区块链/加密金融平台。在审判期间，Pertsev 的辩护律师 Keith Cheng 表示，包括Tornado Cash开发者在内的任何人都无法阻止其他人使用开源智能合约代码。某个智能合约的贡献者是一个去中心化的组织，而不是像传统公司那样的单一负责人。去年8月，Roman Storm 和 Roman Semenov 被美国起诉后，Coin Center（Coin Center 是关注加密货币政策问题的非盈利机构，从事研究与教育政策制定，并倡导监管方面对加密技术采取合理的监管方略）发文声援，表示Tornado Cash 最新指控与金融犯罪指导局 FinCEN 文件相互矛盾。其核心观点认为，Tornado Cash开发者仅提供了“单纯的软件开发或通信服务”，并未从事“代表公众转移资金的业务”，司法机构不应将“服务提供者”与“资金转移者身份”混淆，Tornado Cash 对智能合约唯一的控制权是改变其中与隐私功能相关的密码学逻辑，而并不具备任何实际查看或移动用户资金的能力。今年4月初，Coin Center在就Roman Storm在纽约南区正在进行的刑事案件中提交的法庭之友陈述中表示，希望法院删去检方对Tornado Cash的模糊和有偏见的描述，开源软件开发人员无法控制其他碰巧使用其工具的人的行为，而Tornado Cash代码发布受到美国宪法的明确保护。此外，Coin Center还认为此案的起诉陈述和判决“与从事单纯的开源软件开发、发布代码和演讲工作的人”利益攸关，并呼吁保障美国自由开发和发布软件的权利。 Roman Storm的律师在 3月底向美国纽约南区地方法院提交的文件中还提到，Tornado Cash 作为一个非托管的智能合约，用户对此全权拥有其资产的控制权，而无需依赖任何服务提供商或第三方委托持有。编写程式属于言论自由的范畴，因此受到美国宪法第一修正案的保护。但在14日的审判中，法庭拒绝了这样的观点，他们认为，任何一种技术创新都不能超越防止平台帮助犯罪分子和受制裁实体隐瞒被盗资产来源的法律义务。检察官 Martine Boerlage 对Tornado Cash 的最终定性为其“不仅仅是智能合约，它像一家公司一样运作”。美国司法部重申，其起诉书与 Tornado Cash 的计算机代码是否具有言论自由或是否受第一修正案宪法保护无关，被告并未因发布计算机代码而受到起诉，而是因利用它来促进有利可图的非法业务而受到起诉。司法部进一步解释说，银行使用计算机代码来处理金融交易。如果该代码执行法律定义的货币传输器的工作，那么该代码不仅仅是言论自由，而是人们须确保以不违反货币传输法的方式实现的计算机代码。Tornado Cash 既是代码的一部分，也是言论的一部分，还是商业的一部分，整体而言，它是人类的创造物。Storm 不仅仅发布了代码；他经营了一个企业，多年来都做出了运营决策。Tornado Cash 的协议并不等同于 Tornado Cash 的业务。仅仅因为 Tornado Cash 有一些开源代码，并不意味着 Roman Storm 作为 Tornado Cash 业务所有者涉及该代码的所有行为都受到宪法保护。请愿、抗议与捐赠加密货币律师 David Lesperance 曾表示，从法律上讲，Alexey Pertsev 的案件对 DeFi 的未来比针对 SBF 和Do Kwon 的简单欺诈案件或赵长鹏未能制定所需的反洗钱协议更重要。正因为Tornado Cash 案件极具代表性，三位创始人得到了各种形式的支持。加密社区特别是开发者群体的对 Pertsev 的被捕表示强烈抗议，除了各种社交媒体上的请愿和声援，此前荷兰法院外还有人发放支持 Alexey Pertsev 的海报。 22年8月，一些匿名加密用户甚至通过投毒”式攻击来抗议，通Tornado Cash将少量ETH打给了知名加密人物的地址，以此来表示对美国政府此轮制裁的不满。神鱼、孙宇晨、Coinbase CEO Brian Armstrong、艺术家Beeple等多位知名KOL被“投毒”。此外，有加密社区成员于今年1月22日在众筹平台 Juicebox发起名为“Free Alexey & Roman”的捐赠活动，作为帮助 Tornado Cash 联创 Roman Storm 及开发者 Alexey Pertsev 免于法律惩戒的法律辩护基金。截至发稿前，该基金共收到834笔捐款，总金额达548.49ETH，约合160万美元。以太坊联合创始人 Vitalik、加密交易平台 Kraken 联合创始人 Jesse Powell 等都为基金提供了捐赠。值得一提的是，在昨日Pertsev被判刑后，捐款的笔数突然持续增加，也有人留言“privacy is not a crime”“code is speech”“defend freedom”“XX stands with privacy and open-source public goods”等来为Tornado Cash的开发者以及“加密精神”声援。硬币的另一面尽管Pertsev 本人一直强调自己只是一名程序员，没有任何犯罪意图。他对犯罪分子使用龙卷风现金隐瞒非法所得感到“失望”，但他对此无能为力。法官在向Pertsev追问他是否足够严肃地对待犯罪行为时，调出了Pertsev 与联合开发者 Roman Storm 和 Roman Semonov 的群聊记录，Pertsev 对价值 6.25 亿美元的 Axie Infinity Ronin Bridge 遭到黑客攻击的消息做出了“哈哈”的回应。但Pertsev表示，这并不意味着他认为这很有趣，而是自己表达惊讶时的习惯。此外，一个客观事实是，Tornado Cash从被制裁至今，仍是最大加密混币器。黑客和协议攻击者仍在不停利用这个工具进行洗钱。一方面，Tornado Cash开发者的判决将使技术发展和隐私的未来受到威胁。另一方面，现实是，从法律的角度而言，技术不可能是中立，其必然建立在人与人之间的关系之上。来源：金色财经

金色财经05-15 21:12

前几天暴涨的加密货币,现在还值得投资进场吗？

户上出现神秘推文后，人们怀疑该页面遭到黑客攻击。尽管这一争议在加密货币圈子中流传，但从其价格图表可以看出，该项目仍然具有弹性。 NEAR 每周增长 3%，令人印象深刻，自 5 月份以来增长了 44%。专家预测 NEAR 在接下来的几周内会出现更高的峰值。NEAR 的价格正在稳步上涨并且势头强劲。然而，它接近 6.215 美元的关键支撑位。尽管如此，上升趋势表明复苏反弹即将挑战之前的 9 美元峰值。这标志着当前回调阶段的结束并表明需求增加。目前，NEAR 的交易价格为 7.16 美元，有望突破 8 美元大关。长期支撑趋势线也延伸了看涨趋势并形成更高的高点。 FLOKI Floki 的价格在过去一天上涨了 10% 以上，这对于迷因币影响者 Roaring Kitty 时隔三年回归来说是一件大事。这一惊喜以及 Floki 在 3 月 14 日触及 0.00031387 美元的高点以及此后的一些起伏使 Floki 的价格合理稳定在 0.00013000 美元左右，直到最近的上涨。经过几个月的下跌后，Floki 的价格形成了看涨的三角旗形态。昨天，它看涨地突破了这种模式，为大事奠定了基础。如果 Floki 成功突破 0.00020 美元的关键心理阻力位，在某些基于趋势的斐波那契水平的支撑下，它可能会飙升 50%，甚至可能在未来几周内触及 0.00030 美元。 Floki DAO 刚刚建议燃烧超过 150 亿个代币。就此事而言，价值 280 万美元的 154 亿 FLOKI 已转移至 Floki 多重签名。因此，一项提案建议将 1% 的代币返还给受影响的钱包。同时，该提案旨在消除 152.4 亿个代币，返还 1.54 亿个代币。在此期间，Floki Inu 的价格在过去 24 小时内上涨了 12.36%，在当前交易中达到 0.0001918 美元。加密货币交易量同期飙升 320.12% 至 5.1894 亿美元，推动了积极的市场情绪。正如之前所观察到的，FLOKI 代币的销毁会对代币的价格走势产生积极影响，从而促进上涨趋势。CoinGape Media 此前曾强调，在今年早些时候销毁近 1900 亿枚代币后，Floki Inu 的价格飙升。这一趋势表明 Floki 未来价格的乐观前景。来源：金色财经

金色财经05-15 11:54

前几天暴涨的加密货币现在还值得投资进场吗？

户上出现神秘推文后，人们怀疑该页面遭到黑客攻击。尽管这一争议在加密货币圈子中流传，但从其价格图表可以看出，该项目仍然具有弹性。 NEAR 每周增长 3%，令人印象深刻，自 5 月份以来增长了 44%。专家预测 NEAR 在接下来的几周内会出现更高的峰值。NEAR 的价格正在稳步上涨并且势头强劲。然而，它接近 6.215 美元的关键支撑位。尽管如此，上升趋势表明复苏反弹即将挑战之前的 9 美元峰值。这标志着当前回调阶段的结束并表明需求增加。目前，NEAR 的交易价格为 7.16 美元，有望突破 8 美元大关。长期支撑趋势线也延伸了看涨趋势并形成更高的高点。 FLOKI Floki 的价格在过去一天上涨了 10% 以上，这对于迷因币影响者 Roaring Kitty 时隔三年回归来说是一件大事。这一惊喜以及 Floki 在 3 月 14 日触及 0.00031387 美元的高点以及此后的一些起伏使 Floki 的价格合理稳定在 0.00013000 美元左右，直到最近的上涨。经过几个月的下跌后，Floki 的价格形成了看涨的三角旗形态。昨天，它看涨地突破了这种模式，为大事奠定了基础。如果 Floki 成功突破 0.00020 美元的关键心理阻力位，在某些基于趋势的斐波那契水平的支撑下，它可能会飙升 50%，甚至可能在未来几周内触及 0.00030 美元。 Floki DAO 刚刚建议燃烧超过 150 亿个代币。就此事而言，价值 280 万美元的 154 亿 FLOKI 已转移至 Floki 多重签名。因此，一项提案建议将 1% 的代币返还给受影响的钱包。同时，该提案旨在消除 152.4 亿个代币，返还 1.54 亿个代币。在此期间，Floki Inu 的价格在过去 24 小时内上涨了 12.36%，在当前交易中达到 0.0001918 美元。加密货币交易量同期飙升 320.12% 至 5.1894 亿美元，推动了积极的市场情绪。正如之前所观察到的，FLOKI 代币的销毁会对代币的价格走势产生积极影响，从而促进上涨趋势。CoinGape Media 此前曾强调，在今年早些时候销毁近 1900 亿枚代币后，Floki Inu 的价格飙升。这一趋势表明 Floki 未来价格的乐观前景。来源：金色财经

金色财经05-15 11:43

区块链动态2024年5月15日早参考

生借贷协议Sonne Finance遭黑客攻击，需仔细检查其时间锁合约，目前损失超过2000万美元。 14. 金色财经报道，Web3支持者、a16z合伙人Chris Dixon（cdixon.eth）在社交媒体上发文称，在接下来的两周内，众议院将就迄今为止最重要的加密立法《21 世纪金融创新和技术法案》（FIT21）进行投票。我们长期以来一直呼吁明确监管以保护消费者和创新，FIT21法案将做到这一点。美国人已经接受了数字资产，但当前的监管方法常常限制创新和隐私，而没有真正解决保护消费者或打击非法活动所需的解决方案。 FIT21将帮助杜绝诈骗，确保对加密货币交易所的监督，并通过对加密货币交易实施严格的规则来保护美国消费者。 FIT21得到了两党的支持，因为它解决了这些问题。我鼓励所有相信区块链技术力量的人支持这项立法。最好的办法是联系您当地的代表并告诉他们支持 FIT21。 15. 金色财经报道，基于Compound的原生借贷协议Sonne Finance在社交平台上表示，所有Optimism市场均已暂停，Base上的市场是安全的，将及时提供更多信息。此前报道，据派盾监测，基于Compound的原生借贷协议Sonne Finance遭黑客攻击，需仔细检查其时间锁合约，目前损失超过2000万美元。 16. 金色财经报道，据Farside Investors数据显示，ARK Invest的ARKB昨日净流入1.331亿美元。此前报道，GBTC昨日净流出5100万美元，EZBC净流入200万美元。更新：HODL净流入200万美元。富达FTBC净流入800万美元，目前美国现货比特币ETF净流入9400万美元。 17. 5月15日消息，知情人士透露，Lido联合创始人和Paradigm正在秘密资助一家新公司Symbiotic，该公司将在再质押赛道竞争。在CoinDesk获得的内部Symbiotic文档中，Symbiotic允许用户使用Lido的stETH与其他与Eigen Layer原生不兼容的资产进行再质押；Symbiotic由前身为Stakemind的质押服务团队开发，几个在新兴的再质押生态系统中工作的团队表示已经在讨论与该Symbiotic集成，包括AVSs和在Eigen Layer上构建流动性再质押服务。来源：金色财经

金色财经05-15 09:43

金色早报丨谷歌推出AI视频生成模型Veo OpenAI联合创始人Sutskever离职

oak的匿名开发者承认从Cypher的黑客补偿基金中窃取了价值数十万美元的加密货币，Hoak在一份声明中表示，他拿走了这些资金，然后把它们输掉了，他将自己的行为归咎于“严重的赌博成瘾”。 ▌Ric Edelman：十年后比特币将达到42万美元埃德尔曼金融服务公司创始人Ric Edelman预测比特币在十年后将达到42万美元。重要经济动态 ▌美联储6月维持利率不变的概率为96.7% 据CME“美联储观察”，美联储6月维持利率不变的概率为96.7%，降息25个基点的概率为3.3%。美联储到8月维持利率不变的概率为72.7%，累计降息25个基点的概率为26.4%，累计降息50个基点的概率为0.8%。 ▌美联储梅斯特：不急于考虑加息美联储梅斯特表示，在制定利率路径之前，美联储处于研究经济的“非常有利的位置”；断言通胀将逆转还为时过早；不急于考虑加息。 ▌美股三大指数集体收涨，游戏驿站一天涨幅超过比特币年涨幅美股三大指数集体收涨，道指涨0.32%，纳指涨0.75%，标普500指数涨0.48%，热门科技股普涨，特斯拉涨超3%，英伟达涨超1%，WSB概念股大涨，游戏驿站涨超62%，AMC院线涨超32%。游戏驿站一天涨幅超过比特币年涨幅。金色百科 ▌什么是以太坊期货ETF 以太坊期货 ETF 是追踪以太坊期货合约而非以太坊本身的投资基金。在没有实际持有加密货币的情况下，投资者可以使用以太坊期货 ETF 来推测以太坊的未来价格。以太坊期货 ETF 不是保留有形资产，而是投资于期货合约。这些合约是在未来预定日期以预定价格购买或出售以太坊的承诺。无需处理钱包或加密货币交易所，投资者就可以通过 ETF 购买这些合约，从而承受以太坊价格波动的影响，而 ETF 只是筹集投资者的资金来购买它们。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经05-15 08:13

黑客钓鱼7000万美元？几个小时前黑客退钱了...

受害人给黑客链上留言：“你赢了兄弟，把90%退给我，剩下的10%归你了，然后我们可以把这事忘了。我们都知道700万美元已经可以让你过的很好，但7000万美元会让你寝食难安。我们都知道这些钱没法彻底洗干净，你会一直被追踪。我们也都明白“睡得好”这个词并不是关于你的道德和伦理素质。尽管如此，我们正式承诺您的10%的权利。退回90%。在UTC时间2024年5月6日上午10点之前，您有24小时的时间做出改变您生活的决定。在这之后就没有回头路了。PS。我们还没有在Twitter上发布任何内容。” 客并没有在规定时间内回应。然后今天早些时间有链上侦探查出来黑客使用的ip地址来自香港（也有可能是VPN），并把更多钓鱼案件都归并到同一个黑客团队上。然后就是几个小时前，黑客在链上回复信息，要求受害人留下telegram并取得联系。我刚看了一下链上数据，已经开始给受害人账户打钱了，也许真的是担心再继续查下去会暴露身份，否则很少有黑客在事发后那么多天突然回心转意的。美国之前制裁了链上主要负责洗钱的协议，把创始人抓了，把协议的前端ui封了，还宣布对协议相关地址进行制裁。但协议本身还在链上运行，一旦部署了谁也关不掉它。现在的情况是，可以通过链上操作直接和协议互动，进行洗钱，但是这么操作的难度很大，所以很多普通人被劝退了，这些人被劝退后流动性大减，黑钱就没有了足够的掩护。举个例子的话，相当于政府劝导老百姓晚上尽量待家里别出来玩，这样一来晚上还在街上走的目标就变的明显，很容易被警察拦住盘问。7000万美元金额太大，确实不好洗，还不如早点拿个700万去享受人生。来源：金色财经

金色财经05-14 18:38

Galaxy：从投机到实用——读懂加密货币的用例

中许多服务提供商的敏感用户数据经常遭到黑客攻击。此外，由于不安全的验证系统可能被欺骗，身份欺诈已成为一个日益严重的问题。通过利用区块链和强大的密码学（即零知识证明）进行去中心化身份（DID），个人可以更好地控制自己的在线个人资料，而无需依赖特定的服务提供商。 DID 系统是信任最小化、不可变的系统，可以在不泄露敏感用户数据的情况下促进身份验证。这提供了诸如防篡改文档、简化验证以及降低数据泄露导致的身份盗窃/欺诈风险等优势。可验证的身份源可能包括新的基于 web3 的凭证（例如数字签名或不可转让的代币）来协调和构建信誉系统。基于区块链的身份管理系统的其他扩展包括民主 DAO 投票（一人一票）、公平空投以及在全球范围内有效分配价值的能力。 DePIN & AI 去中心化物理基础设施网络（DePIN）利用加密货币的金融基础设施和代币激励来建立公正的物理基础设施网络，促进所有权分配。 DePIN 可以通过颠覆现有参与者的高利润模式并将节省的成本转嫁给用户来提供更具成本效益的解决方案。 DePIN 为电信和云服务等传统资本密集型行业提供了新的资本形成途径。个人可以通过向DePIN网络的供给侧贡献资源来获得补偿，包括硬件设备、能源、数据和算力。 DePIN 项目的一个新兴类别集成了人工智能工作流程，利用代币来激励各种用例，例如（1）为人工智能流程提供硬件（2）用于模型训练和推理的数据存储和索引，以及（3）为模型精细化提供反馈。通过强化人类学习进行调整。存储和文件共享云计算为企业和组织提供托管数据存储和共享计算存储服务，降低运营数据中心的成本和复杂性。虽然被广泛采用，但领先的中心化云提供商（例如 AWS、Microsoft Azure、Google Cloud）有着丰富的安全事件和隐私风险历史 - 他们采用掠夺性定价策略，从云存储的用户数据中获取巨大利润，并遭受停机导致生产力损失高达 2 万亿美元。去中心化存储是确保存储云和节点运营商符合支撑 Web3 的去中心化原则的关键基础设施。这些协议旨在通过在抗审查性、弹性（数据冗余；消除单点控制/故障）、安全性和隐私以及运营效率（例如成本和数据检索）方面进行竞争来解决与中心化提供商相关的许多问题。 IPFS（星际文件系统）使用户能够跨中心化或分布式数据存储系统存储和检索经过加密验证的内容。 Filecoin 和 Arweave 是去中心化存储平台，提供抗审查的数据存储和访问。 Filecoin 根据存储的数据量和持续时间以租赁模式向客户收费，而 Arweave 则提供永久数据存储。除了提高数据弹性之外，去中心化存储和文件共享的其他用例包括内容协作（包括去中心化科学）、选民数据的安全性以及作为训练人工智能模型的原始数据。展望虽然许多加密应用程序和用例仍然相对较新，并且在过去几年中受到关注，但底层公链和相关基础设施已经存在了更长时间。随着基础设施层的不断完善，更多的应用程序将被开发出来，并释放出更多的实用性。仅去年一年，行业在速度、规模和网络弹性方面就取得了重大进展。正在进行的技术研究领域主要集中在隐私（即将敏感信息与透明的公共区块链分离）、可组合性和互操作性上——所有这些都应该解锁新的应用程序实用性并增强加密经济的潜力。由于迄今为止采用或有效性有限，某些具有明显有益价值主张的用例尚未包含在本演示中。其中包括治理、供应链管理、医疗保健和票务/活动中的应用程序，这些应用程序必须解决监管清晰度或社会协调挑战，才能成为有效的加密货币用例。然而，随着个人和企业对其他指定用例更多地接受加密技术，许多采用的阻力预计会得到缓解。此外，随着时间的推移，中心化服务提供商不可避免地会面临中断，去中心化的价值应该变得更加清晰。随着世界经历数字革命，社会越来越重视赋予个人权力，特别是在感觉被旧世界剥夺权利的年轻一代中。加密货币定位于技术和文化的交叉点，通过提供更公平、自由和高效的系统来满足他们的需求。来源：金色财经

金色财经05-14 15:37

DingPay钱包的科普指南:硬件钱vs软件钱包

名等全生命周期内不触网，断绝电脑病毒及黑客攻击。并通过配套客户端来完成收发币的操作。硬件钱包兼顾安全与易用，安全系数比软件钱包高，是个人用户存储加密货币的最佳方式。硬件钱包的优点是安全性高，因为私钥不会暴露在互联网上，不容易被黑客或恶意软件攻击。硬件钱包也可以防止用户因为忘记密码或丢失设备而失去资产，因为用户可以通过备份助记词或恢复短语来恢复私钥。助记词或恢复短语是一组单词，用于生成私钥。硬件钱包的缺点是成本高，因为用户需要购买专用的设备。硬件钱包也不够便捷，因为用户需要携带设备，并在每次交易时输入密码或PIN码。硬件钱包也有可能被物理损坏或丢失，因此用户需要妥善保管设备和备份助记词或恢复短语。软件钱包包括手机钱包、电脑钱包、网页钱包，通常是下载到电脑的应用程序(客户端)或手机App，操作简单。软件钱包最大的问题是私钥存储于手机或电脑中，如果手机和电脑遭到黑客攻击，私钥有被盗的风险。软件钱包的优点是成本低，因为用户不需要购买额外的设备。软件钱包也比较便捷，因为用户可以随时随地使用电脑或手机进行交易或其他操作。软件钱包也可以支持多种web3资产，因为用户可以根据自己的喜好选择不同的软件钱包。软件钱包的缺点是安全性低，因为私钥会暴露在互联网上，容易被黑客或恶意软件攻击。软件钱包也有可能被用户误删或忘记密码而失去资产，因此用户需要备份私钥或助记词，并保护好自己的设备和密码。 DingPay钱包双管齐下，软硬兼备，助您安全便捷管理资产。 DingPay钱包结合了软件钱包和硬件钱包二者的优势，是数字货币时代的必备工具。你的最佳选择！ DingPay钱包采用硬件钱包优势，不仅可以显著提升资产安全级别，抵御常见的针对在线钱包和交易所的攻击，使您在数字货币的世界中更加安心。同时兼备软件钱包特点，随时随地进行交易或其他收益。网络隔离：不直接连接互联网时，物理隔离降低了网络攻击的可能性。物理安全性：实体设备的存在，使得需要物理接触才能操作，增加了安全层级。多重验证：采用PIN码、指纹识别等多重验证手段，提升了安全性。防止秘钥丢失。 PCI级防篡改：PCI等级的拆机自毁方案。安全芯片被封装在一个复杂的“安全屋”内任何物理干扰都会立即清除数据。在这个数字化迅速演进的时代，选择DingPay钱包，是对您数字财富安全的最佳投资。DingPay钱包保护用户资产和信息，避免不必要的损失。为用户提供了一个安全、便携且用户体验优异的硬件钱包选择。无论是日常携带还是长期存储大额资产，DingPay钱包都能满足最严格的安全需求。来源：金色财经

金色财经05-14 14:58

24小时热点